Я узнал, что могу загружаться в однопользовательском режиме (или как он там называется), нажав Ctrl kbd> + e kbd> в меню Grub2 и добавив single
в правильная строка в загрузочном скрипте. Это все хорошо - это спасло меня много раз, когда я что-то напортачил: P
Однако, я заметил, что когда я делаю это, я получаю root-доступ в основном бесплатно - мне никогда не нужно входить пароль или иным образом доказать мою личность. Это кажется небезопасным - клавиатурная команда для редактирования загрузочного скрипта общеизвестна, поэтому любой, у кого есть доступ к моему компьютеру, может просто выключить его (принудительно, при необходимости, с помощью кнопки питания) и снова включить, отредактировать загрузочный скрипт и получить root доступ к моему компьютеру.
Я не хочу этого.
Что мне нужно настроить, чтобы ввести пароль для однопользовательских сеансов?
(Возможно, это не имеет значения, но я настроил свой запуск опций, чтобы я мог загружаться прямо на рабочий стол, пропуская экран входа в систему.Это нормально, так как мне все еще нужно ввести пароль для sudo
, но мне не нравится идея предоставить кому-либо root-доступ так легко ... )
Если вы установите пароль для пользователя root
, этот пароль потребуется также для входа в однопользовательский режим.
Полное шифрование диска с помощью ключевого файла на флэш-накопителе сделает это до тех пор, пока вы не оставите его подключенным.
Блокировка grub описана здесь . Я не верю в блокировку grub, так как все, что нужно, это живой DVD / CD / Thumbdrive.
Существует довольно подробное руководство по добавлению пароля к grub на UbuntuForums .
Возможно, есть и другие варианты, предназначенные для однопользовательской подсказки, но как бы вы там ни работали, это не совсем безопасность . Кто-то может просто вставить Live-флешку или компакт-диск, и они внезапно получат root-доступ и все ваши данные. Или он может вытащить диск (занимает несколько секунд) и подключить его к другому компьютеру.
1112 Давайте на минуту будем параноиком. Подумайте, сколько потребуется времени:
С физическим доступом я считаю, что могу получить доступ к вашим данным и исчезнуть в течение двух минут. Возможно, немного дольше, если это ноутбук с 200 винтами между мной и диском. Если вы носите с собой ценные и конфиденциальные данные (или оставляете их на рабочем столе без присмотра), это должно быть пугающей мыслью.
Лучшим сдерживающим фактором является полное шифрование диска с помощью чего-то вроде LUKS:
Даже если кто-то что-то пытается, это кошмар для декодирования (помните, что если вы не делаете резервные копии - стандартные методы восстановления данных не будут работать ). У них не будет времени что-либо делать на месте, клонирование диска занимает большинство часов для большинства дисков, и даже если они просто поднимают диск, это дает вам возможность бегать вокруг смены паролей, учетных записей и т. Д., Которые могут стать небезопасными данные на этом диске.